Comments
Description
Transcript
崎山一男 - CRYPTREC
暗号モジ 暗号モジュールのハードウェア実装について ルのハ ドウ ア実装について 電気通信大学 情報通信工学科 崎山 一男 男 2010/03/02 CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 2 暗号とハードウェア実装 暗号とハ ドウェア実装 情報セキュリティ機器における暗号技術 暗号 暗号≠セキュリティ セキ リティ きわめて重要な要素 広がるアプリケーション 2010/03/02 ネットワーク スマートカード ド 携帯電話 ゲーム機 ゲ ム機 RFIDタグ VoIP, etc... CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 Cost, Performance and d Security S it Trade-offs T d ff 3 暗号モジュ 暗号モジュールの3要素 ルの3要素 Cost: ゲート数, データメモリ容量, テスト性, etc. Performance: 処理速度, 処理速度 消費電力, 消費電力 etc. etc Security: 物理攻撃耐性, サイドチャネル攻撃耐性 Cost Performance 2010/03/02 Security CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 4 ハードウェア実装と柔軟性 ハ ドウェア実装と柔軟性 多機能 vs 少機能 Perform mance (la atency) 例えばRSAとECCをサポート(多機能) 163ビットECC GF(2163)上のECC(少機能) Hardwired - compact & fast Cost-performance トレードオフ CPU Programmable g - wider-range of applications - higher-security algorithms Fixing Parameters (少機能化) Cost-performance C f トレードオフ Cost (gate area) 2010/03/02 CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 5 HW/SW Co Co-design design ハードウェア性能とインタフェース 専用FSM(μコントローラ) 専用RAM コストとスピードのトレード・オフ 2 859 Type II CPU CPU I/O Overhead Datapath Datapath + 専用FSM Type III Type IV CPU CPU Datapath Datapath + 専用FSM 専用RAM 専用RAM Required Clo ock Cycles [K] Type I 2 672 500 I/O Transfer CPRAM Access 専用RAM Access Datapath 400 300 200 187 100 38 0 67 0 38 67 67 0 67 0 トレード・オフ TYPE I TYPE II TYPE III TYPE IV System Configuration ハードウェア コスト小 2010/03/02 ハイパフォーマンス 超楕円曲線暗号の実装例 [CHES2006] CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 6 暗号モジュールの実装性評価 暗号モジュ ルの実装性評価 どう評価するか (HOW?) 評価プラットフォーム ハードウェアでは多種多様 (cf. ソフトウェア評価のIntel) 設計フロー 多くのパラメター (cf. C言語のコンパイルオプション) Verilog V il or Custom C C ll (cf. Cell ( f C言語 or アセンブラ) セ ブラ) 何を評価するか (WHAT?) 実装効率 Throughput Th h t / gate t Latency ・ gate サイドチャネル攻撃耐性 2010/03/02 プラットフォーム 設計方針 評価基準 CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 7 最近のとりくみ 公平なSHA-3候補のハードウェア評価に向けて SASEBO-GIIを使用 共通インタフェース 共通デザインフロー 公平な結果比較 USB z bus _clk 制御FPGA z bus _rs tn PC us b_d 8 init us b_rxfn us b_txen us b_rdn modified S AS E B O C hecker us b_wr b E oM 制御 FPGA load fetch ack idata 16 暗号FPGA odata 16 S AS E B O ‐G G II 2010/03/02 暗号 FPGA [SCIS2010, ePrint2010/010] CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 8 SHA-3候補の評価基準 SHA 3候補の評価基準 十分長いメッセージ では無視できる 総サイクル数 ロングメッセージではスループット 【チーター】最高時速~100km 100m走 6秒13 [[Wikipedia] p ] ショ ショートメッセージではレイテンシィ トメッセ ジではレイテンシィ 【グレイハウンド】 100m走 4~5秒 2010/03/02 CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 9 SHA-3候補評価結果(一部) SHA 3候補評価結果( 部) コスト vs スループット 800 @fmax スループッ ト [[Mbps] 700 600 SHA‐256 Skein 500 CubeHash 400 BLAKE 300 ECHO 200 Groestl 100 Hamsi Shabal 0 0 1000 2000 3000 4000 5000 Luffa Number of occupied Slices 800 @100MH @100MHz スルー プッ ト [Mbps] 700 600 SHA‐256 Skein 500 CubeHash 400 BLAKE 300 ECHO 200 Groestl 100 Hamsi Shabal 0 0 1000 2000 3000 4000 5000 Luffa Number of occupied Slices 2010/03/02 CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男 10 Open Questions プラットフォーム FPGAの評価結果 ⇒ ASICの実装性見積もり? インタフェースの違い 消費電力評価 RFID応用 バッテリー駆動システム (低エネルギー) 評価基準 fmax での評価は重要? Throughput/gate g p g が全て? 多少コストが高くても高スループット優先 多少スループットが悪くても低コスト優先 2010/03/02 CRYPTRECシンポジウム2010「暗号技術の実装について」 崎山 一男